[ 应急响应靶场实战 ] VMware 搭建win server 2012应急响应靶机 & 攻击者获取服务器权限上传恶意病毒 & 防守方人员应急响应并溯源
Ὤ 博主介绍
👨ǹ 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
ᾉ点赞➕评论➕收藏 == 养成习惯(一键三连)😋
ᾉ欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- Ὤ 博主介绍
- 整体流程:
- 一、Vmware搭建winserver2012
- 1、选择镜像新建虚拟机
- 2、设置虚拟机名称配置等信息
- 、设置虚拟机网络及磁盘等信息
- 4、设置磁盘信息
- 5、开始安装
- 6、安装vmtools
- 7、设置密码
- 8、开启远程桌面
- 二、攻击机进行攻击
- 1、环境介绍
- 2、攻击机暴力靶机密码
- 、使用得到的账号密码远程登录靶机
- 4、创建隐藏账户powershell$并加至最高权限
- 1.创建隐藏账户
- 2.用户隐藏成功
- .加入管理组
- 4.添加远程桌面权限
- 5、上传wakuangdb
- 6、安装java环境
- 7、写入启动恶意文件的bat
- 8、写入计划任务
- 1.每五分钟执行javs一次
- 2.每三分钟执行javs启动程序一次
- 9、写入启动项
- 三、应急响应处理异常
- 1、事件背景
- 2、简单分析
- 、排查服务器是否感染挖矿病毒
- 4、结束进程
- 5、排查计划任务
- 6、查看进程
- 7、排查启动项
- 8、排查计划任务
- 9、查看服务
- 10、发现隐藏账户
- 11、排查网络连接
- 四、应急响应溯源
- 1、查看计划任务
- 2、提取安全日志
- 提取安全日志
- 2.事件查看器提取安全日志
- 、分析安全日志
- 4、事件复原
- 五、相关资源
靶场环境下载地址
整体流程:
Vmware搭建winserver2012
Winserver2012受到攻击WaKuang程序攻击
应急响应处置并进行事件复现
一、Vmware搭建winserver2012
可以选择自行搭建,也可以下载我搭建好的,下载链接文末给出 靶场换下载链接
打开vmware,选择新建虚拟机,一直下一步,选择ISO,激活密钥直接跳过,点击下一步。
设置虚拟机名称,设置虚拟机安装路径,固件类型默认,然后设置处理器数量,内核数量等,接着设置内存,这些可自行根据实际情况进行设置
设置网络连接类型,我这里选择的网络类型是AT,设置i/o控制器类型,我这里直接默认,选择磁盘类型,默认,选择创建新的虚拟磁盘
设置磁盘存储大小,设置磁盘名称,确认配置
点击完成就开始安装,过一会儿会自动重启
再过一会儿,自动安装完毕
进入我的电脑,选择D盘,双击打开
双击setup进行安装
安装中,安装完成自动进入操作系统
vmtools安装失败可参考:
[ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB291955补丁 (附离线工具)
点击windows图片,选择控制面板,选择用户账户
点击更改账户类型,选择更改Administrator用户,创建密码,输入密码,输入确认密码,输入密码提示信息,我这里创建靶机,我把密码提示信息设置成密码
点击右下角创建密码即可
我是做靶机使用,这里我需要远程桌面
windws server 2012默认不开启远程桌面功能
二、攻击机进行攻击
攻击机建议创建一个虚拟机,当然选择本机作为攻击机也是可以的
我这里采用win10虚拟机和kali虚拟机作为攻击机
Win10:192.168.2.176
Kali:192.168.2.10
Winserver2012:192.168.2.182
使用超级弱口令检查工具进行爆破
填入目标:192.168.2.182
选择账户字典:常用用户名
选择密码字典:密码top100
对RDP和SMB进行爆破
得到账号密码
administrator/admin@12
直接远程桌面
使用爆破的到账号密码进行登录
登陆成功
1.创建隐藏账户
以管理员身份进入终端,执行如下命令创建一个隐藏账户
net user powershell$ admin@12/add
创建一个账号名为powershell,密码为admin@12的隐藏账户
net localgroup administrators powershell$ /add
将powershell$用户添加进管理员组中(如果忘了这个命令,也可以傻瓜式添加)
创建完成之后,输入net user 查看账户,发现我们创建的隐藏用户隐藏成功
net user
虽然用net user 看不到,但是还有其他方式可以看到
通过控制面板–>用户账户–>管理账户查看
通过管理工具–>计算机管理–>本地用户和组–>用户也可以看到
为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。
完全隐藏账户:链接
2.用户隐藏成功
管理账户下看不到隐藏用户
计算机管理用户下看不到隐藏用户
.加入管理组
net localgroup administrators powershell$ /add
将powershell$用户添加进管理员组中,可以直接在终端中使用以上命令添加,也可以如下计算机管理中添加。
进入计算机管理–>到用户和组,进入组,到administrator组
双击进入administrator组,添加我们之前创建的用户
选择添加,进入高级,立即查,到我们需要添加用户,点击确认
再次点击确认,然后应用就ok了
4.添加远程桌面权限
需将新创建的隐藏账户
powershell$添加在允许远程桌面用户的位置,默认只允许Administrator,不然隐藏账户powershell$无法登录,远程登录隐藏账户powershell$时,账户名是powershell$密码是admin@12
[ 应急响应基础篇 ] 解决远程登录权限不足的问题(后门账号添加远程桌面权限)
注意:此处账户并不是完全隐藏了,想要完全隐藏参考下面文章:
[ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户
文件下载地址:
小插曲:文件没法提供了,需要的主页
上传wakuangbd并解压
随便放到哪个目录都行,我放到了C:\Users\Administrator\Documents\wkbd\目录下
解压后文件如下
发现靶机没有安装java环境,在靶机上面安装java环境
Java环境下载链接:安装包,以及配套安装教程
[ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)
直接双击进行安装
Java环境安装完毕之后,图标变成java图标,然后删掉java安装包
常用bat文件链接:
@echo of f
start C: \Users \Admini strator \Documents \wkbd\javs. exe
点击他就会自动执行恶意文件
是一个用于将普通可执行文件(如 .exe、.bat、.jar 等)封装为 Windows 系统服务的工具。它允许用户通过简单的命令行操作或图形界面,将应用程序注册为系统服务,从而实现开机自启动、后台运行和故障恢复等功能。我这里没有调用吧变成服务,在后续的应急过程中会一步步加大难度。感兴趣的可以提前自己先去了解!
1.每五分钟执行javs一次
直接双击每5执行javs一次就可以新建一个计划任务,每五分钟执行一次
schtasks /create /tn updater /tr C:\Users\Administrator\Documents\wkbd\ /sc minute /mo 5
我们也可以在终端中直接执行bat里面的命令创建计划任务
任务计划程序创建成功
为了避免不执行,我们进行如下设置
2.每三分钟执行javs启动程序一次
schtasks /create /tn updater2 /tr C: \Users \Admi ni strator\Documents \wkbd\执行javs. bat /sc minute /mo
直接双击每执行javs一次就可以新建一个计划任务,每分钟执行一次执行javs.bat,也就是每三分钟执行一次
Winserver2012启动项位置:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
打开启动项,把这些文件写入,这些文件都是我们之前创建好的
这样,每次重启服务器,这些文件都会被执行
三、应急响应处理异常
客户反馈:服务器风扇噪声很大,温度很高,疑似被入侵。
受害服务器: Windows2012 系统、IP: 192.168.2.182、无WEB服务。
根据客户反馈:风扇噪声很大,一般只有消耗CPU很多的情况下,服务器高温,风扇才会一直转,说明服务器可能感染wakuang病毒了。
登录进服务器之后,看到桌面下面有一个程序在运行
点开java图标之后,发现该程序一直在访问域名::1
查看一下这个域名是啥,这里采用微步进行查询
微步查看域名:,确认是矿池域名,这个程序是wakuang病毒
https:///report/url/0c5982767b70c545cce4caa9cfd22e
查看进程之后查看服务器的CPU和内存使用率,发现名为的程序内存使用率极大
tasklist
发现占用率很高很高
查看属性
发现文件位置:
C:\Users\Administrator\Documents\wkbd\
进入C:\Users\Administrator\Documents\wkbd\目录发现确实是wakuang程序
看到如下文件
打开config.json文件
将程序放在微步云沙箱跑一下,确实是恶意文件
https://
我们上面确认它是wakuang病毒了
我们直接结束进程
结束了恶意进程之后,cpu占用率瞬间下来了
终止恶意进程 程序之后,没过几分钟, 程序又再次出现了,并且消耗CPU 100%,怀疑可能存在计划任务
继续终止进程,然后查看计划任务
看到了两个不应该存在的计划任务updater和updater1,
发现创建者为Administrator,创建时间为202//1 11:45:01和202//1 11:45:0
我们查看一下计划任务内容
发现updater是启动,这个是恶意计划任务
发现updater是启动执行javs.bat,这个也是恶意计划任务
使用processExplorer进程分析工具分析进程
processExplorer下载地址:
https://pan.baidu/s/1n5Z4CeJBGn1uToQOPa0EbQ?pwd=q1ub
processExplorer16.2中文版下载地址:
https://pan.baidu/s/1FTw-Y_lsxqRdV_Sm0luw?pwd=uk99
分析如下,发现的CPU占用率很高,大致确认是恶意程序
这其实就是我们之前删掉的进程,后面计划任务再次起来的,计划任务我们之前没有删除
右键结束进程
Windows2012server启动项地址
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
发现三个恶意启动文件
202//10 18:4创建每5执行javs一次.Bat
202//1 10:2创建两个bat文件
使用Autoruns工具查看服务器所有的进程,其中背景颜为粉红的程序,经排查均不是恶意程序,服务器不存在恶意程序
Autoruns工具下载
Autoruns版下载链接
发现两个恶意计划任务
使用Autoruns工具查看服务器服务,发现恶意服务javs
通过控制面板–>用户账户–>管理账户查看当前系统的所有账户未发现异常,只有administrator和guest
通过查看注册表发现存在三个用户,administrator和guest和powershell$,发现异常
由此可知,
powershell$为后门账户,删除powershell$用户相关注册表
使用命令 netstat -ano 查看网络连接
netstat -ano
未发现异常
四、应急响应溯源
202//1/11:45创建两个计划任务
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
提取安全日志
首先使用evtx提取系统的日志,将evtx工具传到windows server 2012服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录
之后以管理员身份运行 文件
提取出来的日志如下
2.事件查看器提取安全日志
打开事件查看器
点开 windows日志,点击右边的所有事件另存为
日志就保存出来了
logon工具下载
https://pan.baidu/s/1D2WMqhAVXVPol0zHBaglFA?pwd=vy57
将提取出来的日志,放到logon下的data里面(如果存在之前的日志需要全部删除)
然后运行bin里面的Run.bat程序即可。
很快就跑完了
如下所示,是运行结束后统计的各种CSV表格
我这里靶场没有安装office,我拷出来查看,当然也可以采用记事本查看
目录下的文件
此文件记录的是所有登录失败的信息,发现202//10 14::49——202//14 16:10:04有多次黑客爆破Administrator账户,但是均没有记录到攻击IP
目录下的文件
此文件记录的是所有登录成功的信息,但是在202//10 14:56:56——202//14 16:10:04期间有审核成功的记录,IP地址同样没有记录到,可能是黑客使用爆破工具成果爆破出Administrator账户密码
紧接着 202//10 14:57:29,IP:192.168.2.1成功登录该服务器
继续排查在 202//14 9:5:08 黑客使用administrator账户创建了隐藏账户 powershell$并>添加到超级管理员组,具有超级管理员权限
之后查看系统日志,发现在 202//10 18:1:9 服务器去解析 域名,而此域名是公共矿池,说明此时已经植入挖矿程序并且运行
是公共矿池
黑客IP:192.168.226.1
202//10 14:56:56
黑客爆出用户密码并使用192.168.226.1远程登录服务器
202//10 18:1:9
植入挖矿程序并且运行
202//1 11:45:01
创建计划任务
202//14 9:5:08
黑客使用administrator账户创建了隐藏账户 powershell$并添加到超级管理员组
五、相关资源
1、 [ 应急响应篇 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
2、 [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
、 [ 应急响应基础篇 ] windows日志分析详解–windows日志分析介绍–Windows事件类型介绍–提取windows日志–windows日志分析工具–windows日志分析实例
4、 [ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)
5、 [ 红队知识库 ] 一些常用bat文件集合
6、 [ 应急响应基础篇 ] 解决远程登录权限不足的问题(后门账号添加远程桌面权限)
7、 [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
8、 [ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)
9、 [ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB291955补丁 (附离线工具)
10、 [ 问题解决篇 ] 解决远程桌面安全登录框的问题
11、 [ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户
12、 [ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)
1、 靶场换下载链接
#感谢您对电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格的认可,转载请说明来源于"电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格
推荐阅读
| 留言与评论(共有 13 条评论) |
| 本站网友 法国别墅 | 7分钟前 发表 |
| //pan.baidu/s/1FTw-Y_lsxqRdV_Sm0luw?pwd=uk99 分析如下,发现的CPU占用率很高,大致确认是恶意程序 这其实就是我们之前删掉的进程,后面计划任务再次起来的,计划任务我们之前没有删除 右键结束进程 7 | |
| 本站网友 治疗糖尿病的药物 | 0秒前 发表 |
| [ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程) 5 | |
| 本站网友 兼职网络推广员 | 11分钟前 发表 |
| 环境介绍 攻击机建议创建一个虚拟机,当然选择本机作为攻击机也是可以的 我这里采用win10虚拟机和kali虚拟机作为攻击机 Win10:192.168.2.176 Kali:192.168.2.10 Winserver2012:192.168.2.182 2 | |
| 本站网友 江玉燕 | 3分钟前 发表 |
| 分析安全日志4 | |
| 本站网友 陈颂雄 | 23分钟前 发表 |
| 排查网络连接 使用命令 netstat -ano 查看网络连接 netstat -ano 未发现异常 四 | |
| 本站网友 建昌租房 | 4分钟前 发表 |
| 开始安装 点击完成就开始安装,过一会儿会自动重启 再过一会儿,自动安装完毕 6 | |
| 本站网友 昆明制药集团股份有限公司 | 22分钟前 发表 |
| 选择镜像新建虚拟机 打开vmware,选择新建虚拟机,一直下一步,选择ISO,激活密钥直接跳过,点击下一步 | |
| 本站网友 福清帮 | 23分钟前 发表 |
| 环境介绍2 | |
| 本站网友 handlerthread | 21分钟前 发表 |
| 它允许用户通过简单的命令行操作或图形界面,将应用程序注册为系统服务,从而实现开机自启动 | |
| 本站网友 厦门团购大全 | 12分钟前 发表 |
| \Users \Admini strator \Documents \wkbd\javs. exe 点击他就会自动执行恶意文件 是一个用于将普通可执行文件(如 .exe | |
| 本站网友 萝岗租房网 | 27分钟前 发表 |
| 45 | |
| 本站网友 九点钟方向 | 16分钟前 发表 |
| 开启远程桌面 二 | |